× Οι μηχανές αναζήτησης και οι σχεδιαστές ιστοσελίδων εμπλέκονται σε μία
αέναη διαμάχη. Οι πρώτοι επιθυμούν την παράδοση έγκυρου περιεχομένου
ενώ οι δεύτεροι την κατάταξη των ιστοσελίδων τους στις υψηλότερες θέσεις.
Για τον λόγο αυτό, πολλοί προσπαθούν με δόλιους τρόπους και μηχανισμούς
να παραπλανήσουν τόσο τις μηχανές αναζήτησης όσο και τους τελικούς
χρήστες.
Η χρήση των black hat τεχνικών είναι τόσο παλιά όσο και οι μηχανές
αναζήτησης. Οι πιο δημοφιλής είναι οι προαναφερθέντες cloaking και
spamdexing

Παραβιάζοντας το “access token” ενός χρήστη του Fa

Περισσότερα
10 Χρόνια 1 Εβδομάδα πριν #1638 από akis
Παραβιάζοντας το “access token” ενός χρήστη του Facebook

Πηγή: SecNews.gr
Hacking Facebook Παραβιάζοντας το access token ενός χρήστη του Facebook

Το Facebook έχει υλοποιήσει μια σειρά μέτρων ασφάλειας για την προστασία του λογαριασμού των χρηστών, όπως για παράδειγμα όταν ένας χρήστης χρησιμοποιεί “access token”, μέσω εφαρμογής του Facebook (όπως το Candy Crush Saga, το Lexulous Word Game), που του παρέχει προσωρινή και ασφαλή πρόσβαση στο Facebook API.

Για να καταστεί αυτό δυνατό, οι χρήστες πρέπει να «επιτρέψει ή να αποδεχτούν» το αίτημα της εφαρμογής, έτσι ώστε μια εφαρμογή να έχει πρόσβαση στις πληροφορίες του λογαριασμού με τα απαιτούμενα δικαιώματα.

Το Access Token αποθηκεύει πληροφορίες σχετικά με τα δικαιώματα που έχουν χορηγηθεί, καθώς και πληροφορίες σχετικά με το πότε θα λήξει και ποια εφαρμογή το προκάλεσε. Οι εγκεκριμένες εφαρμογές του Facebook μπορούν να δημοσιεύουν ή να διαγράψουν περιεχόμενο στο λογαριασμό του χρήστη χρησιμοποιώντας τα στοιχεία πρόσβασης και όχι τον κωδικό πρόσβασης από το Facebook.

Τα Access Token είναι αρκετά ευαίσθητα, γιατί όποιος γνωρίζει το διακριτικό πρόσβασης ενός χρήστη μπορεί να έχει πρόσβαση στα δεδομένα του χρήστη και μπορεί να εκτελέσει οποιαδήποτε ενέργεια εκ μέρους του χρήστη, μέχρι το token να απενεργοποιηθεί.

Η ομάδα Ασφαλείας του Facebook έχει εντοπίσει μια ευπάθεια που κατατέθηκε από τον Ahmed Elsobky, έναν ειδικό ασφάλειας από την Αίγυπτο και αναφέρει ότι “εργαζόμαστε για τον περιορισμό της απειλής όταν πρόκειται για τις επίσημες εφαρμογές μας, δεδομένου ότι είναι προεγκριμένες. Για τις άλλες εφαρμογές, δυστυχώς, δεν μπορεί να εμποδιστεί πλήρως, καθώς αυτό θα σήμαινε ότι οποιαδήποτε ιστοσελίδα συνεργάζεται με το Facebook πρέπει να χρησιμοποιήσει HTTPS, το οποίο δεν είναι εφικτό προς το παρόν.”

Παρακαλούμε Σύνδεση ή Δημιουργία λογαριασμού για να συμμετάσχετε στη συζήτηση.

Χρόνος δημιουργίας σελίδας: 0.085 δευτερόλεπτα

Τζάκια Μαντάς Νέα στο Twitter

Twitter response: "Could not authenticate you."